Lieferkettensicherheit unter NIS2: Umgang mit Risiken durch Dritte
Wer sollte das lesen: Einkaufsbeauftragte, CISOs, Risikomanager, Lieferanten und alle, die für das Drittanbietermanagement und das Lieferkettenrisiko verantwortlich sind.
Der SolarWinds-Verstoß von 2020 hat eine bittere Lektion gelehrt: Ein Angreifer, der einen einzelnen Softwareanbieter kompromittiert, kann Tausende von Kunden gleichzeitig infiltrieren. Ein vertrauenswürdiger Anbieter wird zu einem trojanischen Pferd.
NIS2 reagierte darauf, indem es die Sicherheit der Lieferkette zur Pflicht machte. Gemäß Artikel 21 Absatz 2 Buchstabe d müssen alle wesentlichen und wichtigen Stellen „die Sicherheit der Lieferkette gewährleisten, einschließlich sicherheitsbezogener Aspekte in Bezug auf die Beziehungen zwischen den einzelnen Unternehmen und ihren direkten Lieferanten oder Dienstleistern“.
Dies ist keine Richtlinie oder bewährte Methode. Es handelt sich um eine regulatorische Verpflichtung. In diesem Leitfaden wird erklärt, was dafür erforderlich ist, wie Sie ein Lieferantenrisikoprogramm erstellen und wie Sie mit den aufgedeckten Risiken umgehen können.
Was ist Lieferkettensicherheit?
Lieferkettensicherheit bedeutet, das Cybersicherheitsrisiko zu managen, das von Ihren Anbietern, Lieferanten und Dienstleistern ausgeht.
Ihre Anbieter sind Teil Ihrer Angriffsfläche. Wenn ein Anbieter gefährdet ist, könnten Ihre Systeme gefährdet sein. Wenn das Netzwerk eines Anbieters eine Verbindung zu Ihrem Netzwerk herstellt (für Fernsupport, Datenaustausch usw.), könnte ein Angreifer, der den Anbieter infiltriert, in Ihre Systeme eindringen. Wenn Sie die Software eines Anbieters in Ihre Systeme integrieren, werden Sicherheitslücken in dieser Software zu Ihrem Problem.
NIS2 ist sich dessen bewusst und macht es zu Ihrer Verantwortung, das Lieferantenrisiko zu managen. Sie müssen:
Identifizieren Sie wichtige Anbieter und Dienstanbieter, deren Ausfall oder Kompromittierung Ihre Dienste beeinträchtigen würden.
Beurteilen Sie ihre Cybersicherheitspraktiken und ihren Reifegrad.
Legen Sie vertragliche Sicherheitsanforderungen fest.
Überwachen Sie deren Einhaltung im Laufe der Zeit.
Haben Sie Notfallpläne, falls sie kompromittiert sind oder nicht mehr verfügbar sind.
Dies ist eine erhebliche Erweiterung der Verantwortung für Cybersicherheit. In der Vergangenheit wurde die Sicherheit von Anbietern oft als optional betrachtet. Unter NIS2 ist dies obligatorisch.
Identifizierung kritischer Lieferanten
Der erste Schritt ist die Bestandsaufnahme: Wer sind Ihre Lieferanten und Dienstleister?
Erstellen Sie ein Lieferantenregister, das Folgendes auflistet:
Alle externen Anbieter und Dienstleister (Cloud-Anbieter, Softwareanbieter, ausgelagerte IT-Anbieter, Berater usw.).
Die Dienstleistung oder das Produkt, das sie anbieten.
Die Bedeutung dieser Dienstleistung oder dieses Produkts für Ihren Betrieb (ist es für die Servicebereitstellung von entscheidender Bedeutung oder ist es nebensächlich?).
Ob sie Zugriff auf Ihr Netzwerk oder Ihre Systeme haben.
Ob sie sensible Daten verarbeiten oder verarbeiten.
Nicht alle Anbieter sind gleich kritisch. Ein Anbieter, der Bürobedarf bereitstellt, birgt ein weitaus geringeres Risiko als ein Anbieter, der Cloud-Dienste anbietet und Kundendaten verarbeitet. Konzentrieren Sie sich bei Ihrer Bewertung auf wichtige Anbieter — also auf Anbieter, deren Ausfall, Nichtverfügbarkeit oder Kompromisse Ihre Dienste unterbrechen oder Daten gefährden würden.
In Artikel 21 Absatz 3 heißt es: „Die Mitgliedstaaten stellen sicher, dass die Einrichtungen bei der Prüfung, welche Maßnahmen gemäß Absatz 2 Buchstabe d dieses Artikels angemessen sind, die für jeden Direktlieferanten und Dienstleister spezifischen Schwachstellen berücksichtigen...“
Das bedeutet, dass Sie jeden wichtigen Lieferanten einzeln bewerten müssen und keinen Einheitsansatz anwenden müssen. Ein kleiner Berater vor Ort birgt andere Risiken als ein globaler Cloud-Anbieter. Ihre Bewertung und Kontrollen sollten diesen Unterschied berücksichtigen.
Bewertung der Anbietersicherheit
Sobald Sie wichtige Anbieter identifiziert haben, bewerten Sie deren Cybersicherheitspraktiken. Dies beinhaltet in der Regel:
Fragebogen für Lieferanten
Erstellen Sie einen Sicherheitsfragebogen, um Informationen über die Praktiken des Anbieters zu sammeln. Der Fragebogen sollte Folgendes umfassen:
Sicherheitsmanagement: Hat der Anbieter einen Chief Information Security Officer oder einen gleichwertigen Beauftragten? Haben sie eine Cybersicherheitsrichtlinie?
Risikobewertung: Führen sie Risikobewertungen durch? Wie oft?
Reaktion auf Vorfälle: Haben sie eine Fähigkeit, auf Vorfälle zu reagieren? Wie schnell können sie reagieren?
Geschäftskontinuität: Verfügen sie über Backup- und Disaster-Recovery-Funktionen? Was ist ihr Ziel für die Wiederherstellungszeit?
Zugriffskontrolle: Wie verwalten sie den Zugriff auf Systeme? Verwenden sie eine Multifaktor-Authentifizierung?
Verschlüsselung: Verschlüsseln sie Daten während der Übertragung und im Ruhezustand?
Patch-Management: Wie schnell beheben sie Sicherheitslücken?
Lieferantenmanagement: Beurteilen sie ihre eigenen Lieferanten? (Dies ist das „Drittanbieter-Risiko“ — die Lieferanten Ihres Lieferanten.)
Schulung und Sensibilisierung: Führen sie Sicherheitstrainings durch?
Audits und Zertifizierungen: Haben sie Zertifizierungen (ISO 27001, SOC 2 usw.) oder werden sie regelmäßigen Audits unterzogen?
Konformität: Halten sie die relevanten Vorschriften ein (GDPR, NIS2, PCI DSS, HIPAA usw.)?
Verwenden Sie nach Möglichkeit Standardfragebögen (der SIG-Fragebogen (Shared Assessments Standard Information Gathering) ist weit verbreitet). Passen Sie den Fragebogen an die Rolle des Anbieters und die Wichtigkeit seiner Dienstleistungen an.
Prüfung oder Bewertung
Gehen Sie bei wichtigen Anbietern über einen Fragebogen hinaus. Erwägen Sie, ein Sicherheitsaudit durchzuführen oder in Auftrag zu geben.
Zu den Optionen gehören:
Selbstbeurteilung des Anbieters: Der Anbieter führt eine Selbstbewertung anhand einer Norm (z. B. ISO 27001) durch und erstellt einen Bericht.
Prüfung durch Dritte: Sie beauftragen einen unabhängigen Prüfer mit der Bewertung der Sicherheitspraktiken des Anbieters.
Penetrationstests: Führen Sie für die wichtigsten Anbieter einen Penetrationstest durch, um ausnutzbare Sicherheitslücken zu identifizieren.
Anbieterzertifizierung: Der Anbieter muss eine anerkannte Zertifizierung erhalten (ISO 27001, SOC 2 Typ II). Dies ermöglicht eine unabhängige Überprüfung ihrer Praktiken.
Die Tiefe der Bewertung sollte die Kritikalität widerspiegeln. Ein Anbieter, der grundlegende Dienstleistungen anbietet, muss möglicherweise nur einen Fragebogen ausfüllen. Ein Cloud-Anbieter, der kritische Kundendaten verarbeitet, sollte sich einer Prüfung durch Dritte unterziehen und über entsprechende Zertifizierungen verfügen.
Bewertung der Produktsicherheit
Beurteilen Sie für Softwareanbieter die Sicherheit ihrer Produkte. Dies beinhaltet:
Codeüberprüfung: Beantragen Sie, dass der Code des Anbieters von einer unabhängigen Sicherheitsfirma überprüft wird (nicht von allen Anbietern vorgeschrieben, aber für kritische Software geeignet).
Verlauf der Sicherheitslücken: Fragen Sie nach früheren Sicherheitslücken in ihren Produkten. Wie viele? Wie schwerwiegend? Wie schnell haben sie gepatcht?
Sichere Entwicklungspraktiken: Verwenden sie sichere Codierungsstandards, Codeüberprüfungen und Tests?
Richtlinie zur Offenlegung von Sicherheitslücken: Haben sie eine koordinierte Richtlinie zur Offenlegung von Sicherheitslücken? Wie gehen sie mit Forschern um, die Sicherheitslücken entdecken?
Lieferkettensicherheit: Beurteilen sie ihre eigenen Lieferanten und Subunternehmer?
Vertragliche Kontrollen
In Ihren Lieferantenverträgen müssen die Sicherheitsanforderungen festgelegt sein. In Standardverträgen wird häufig nicht auf die Sicherheit eingegangen. Sie müssen Sicherheitsklauseln hinzufügen.
Ihr Vertrag sollte den Verkäufer dazu verpflichten:
Halten Sie ein Cybersicherheitsprogramm aufrecht, das bestimmte Standards erfüllt (ISO 27001, NIST Cybersecurity Framework oder gleichwertig).
Informieren Sie Sie innerhalb eines definierten Zeitrahmens (z. B. 24 Stunden) über schwerwiegende Sicherheitsvorfälle, die Ihre Daten oder Systeme betreffen.
Achten Sie auf Vertraulichkeit und geben Sie Ihre Daten oder Systeminformationen nicht ohne Ihre schriftliche Zustimmung an Dritte weiter.
Implementieren Sie eine Multifaktor-Authentifizierung für den Zugriff auf Ihre Systeme und Daten.
Verschlüsseln Sie sensible Daten während der Übertragung und Speicherung.
Führen Sie regelmäßige Sicherheitsanalysen (Penetrationstests, Schwachstellenscans) durch und korrigieren Sie die Ergebnisse.
Managen Sie ihre eigenen Anbieter und verlangen Sie von ihnen, dass sie gleichwertige Sicherheitsstandards erfüllen.
Sorgen Sie mit definierten Zielen für die Wiederherstellungszeit für Geschäftskontinuität und Disaster Recovery.
Gewähren Sie Prüfungsrechte: Sie haben das Recht, ihre Sicherheitspraktiken zu überprüfen.
Erlauben Sie Ihnen, den Vertrag zu kündigen, wenn ein wesentlicher Sicherheitsvorfall auftritt oder die Sicherheitsanforderungen nicht erfüllt werden.
Erfordern Sie eine Haftpflichtversicherung, die Sicherheitslücken abdeckt.
Diese Klauseln sollten Teil Ihrer Standardvorlage für Lieferantenverträge sein. Bei Verhandlungen mit einem neuen Anbieter sollten neben Preis und Serviceniveau auch die Sicherheitsanforderungen ausgehandelt werden.
Fortlaufende Überwachung
Es reicht nicht aus, einen Anbieter einmal zu bewerten. Die Sicherheit der Lieferkette ist im Gange.
Du solltest:
Überwachen Sie Sicherheitsvorfälle: Verfolgen Sie Vorfälle von Anbietern in den Nachrichten, überprüfen Sie, ob es sich um Sicherheitslücken handelt, überwachen Sie Sicherheitsbulletins auf Sicherheitslücken in ihren Produkten.
Führen Sie regelmäßige Neubewertungen durch: Beurteilen Sie wichtige Anbieter mindestens einmal jährlich anhand desselben Fragebogens oder Audits erneut. Aktualisieren Sie Ihre Bewertung auf der Grundlage neuer Erkenntnisse.
Überprüfen Sie die Sicherheitspatches: Bleiben Sie auf dem Laufenden über Patches, die der Anbieter veröffentlicht. Stellen Sie sicher, dass Ihre Systeme umgehend gepatcht werden.
Auf Änderungen achten: Wechselt der Anbieter den Eigentümer? Kritische Funktionen auslagern? Diese Änderungen könnten sich auf die Sicherheit auswirken.
Nehmen Sie an Sicherheitsbriefings der Anbieter teil: Einige Anbieter bieten vierteljährliche Sicherheitsupdates für Kunden an. Nehmen Sie an diesen teil, um mehr über aktuelle Bedrohungen und die Reaktion des Anbieters zu erfahren.
Verträge nach Bedarf neu aushandeln: Wenn ein Anbieter übernommen wird oder wenn sich dessen Sicherheitspraktiken verschlechtern, verhandeln Sie die Vertragsbedingungen neu, um dem geänderten Risiko zu begegnen.
Koordinierte Risikobewertungen
Gemäß Artikel 21 Absatz 3 müssen Sie „die Ergebnisse der gemäß Artikel 22 Absatz 1 durchgeführten koordinierten Sicherheitsrisikobewertungen kritischer Lieferketten berücksichtigen“.
Artikel 22 Absatz 1 ermächtigt die Kooperationsgruppe (ein Koordinierungsgremium der EU-Mitgliedstaaten), koordinierte Sicherheitsrisikobewertungen bestimmter kritischer IKT-Dienste, -Systeme oder -Produktlieferketten durchzuführen. Diese Bewertungen werden auf EU-Ebene durchgeführt, um die Risiken für kritische Komponenten der digitalen Infrastruktur zu bewerten.
Wenn die Kooperationsgruppe eine koordinierte Risikobewertung einer kritischen Lieferkette veröffentlicht (z. B. Cloud-Computing-Dienste, DNS-Dienste, Halbleiter-Lieferkette), müssen Sie diese Bewertung bei der Verwaltung Ihres eigenen Lieferantenrisikos berücksichtigen. Wenn bei der Bewertung Schwachstellen in einer Lieferkette festgestellt werden, auf die sich Ihre Lieferanten verlassen, sollten Sie dies bei Ihren Entscheidungen im Lieferantenmanagement berücksichtigen.
Überwachen Sie die Bewertungen der Cooperation Group, die für Ihre Lieferanten relevant sind, und integrieren Sie die Ergebnisse in Ihr Risikomanagement.
Lieferantenrisiko in verschiedenen Kontexten
Das Lieferkettenrisiko variiert je nach Anbietertyp. Hier sind die wichtigsten Überlegungen für verschiedene Kategorien:
Anbieter von Cloud-Diensten
Ihr Cloud-Anbieter hat Zugriff auf Ihre Daten und Systeme. Zu den wichtigen Kontrollen gehören:
Service Level Agreements (SLAs), in denen Verfügbarkeit, Ziele für die Wiederherstellungszeit und Zeitpläne für die Meldung von Vorfällen festgelegt sind.
Datenschutzklauseln, die Verschlüsselung, Zugriffskontrollen und Vertraulichkeit vorschreiben.
Prüfungsrechte: Sie müssen in der Lage sein, die Sicherheitskontrollen des Anbieters zu überprüfen.
Anforderungen an Subprozessoren: Der Cloud-Anbieter muss alle Subprozessoren (Anbieter, die er verwendet) offenlegen und genehmigen und sicherstellen, dass sie gleichwertige Sicherheitsstandards erfüllen.
Aufbewahrung und Löschung von Daten: Definieren Sie, wie mit Daten umgegangen wird, wenn der Vertrag endet.
Softwareanbieter
Software, die Sie in Ihre Systeme integrieren, wird Teil Ihrer Sicherheitslage. Zu den Steuerungen gehören:
Offenlegung von Sicherheitslücken und Zeitplan für das Patchen: Der Anbieter muss Sicherheitslücken offenlegen und umgehend beheben.
Sichere Entwicklungspraktiken: verlangen vom Anbieter, dass er sichere Codierungsstandards befolgt und Tests durchführt.
Softwareliste (SBOM): fordern Sie den Anbieter auf, eine Liste aller Open-Source-Komponenten und Komponenten von Drittanbietern in seiner Software bereitzustellen. Dies hilft Ihnen, Schwachstellen in Abhängigkeiten zu identifizieren.
Einhaltung der Lizenzbestimmungen: Stellen Sie sicher, dass die Software ordnungsgemäß lizenziert ist und keine unlizenzierten oder gestohlenen Komponenten enthält.
Ausgelagerte Dienstleistungen (IT-Support, Sicherheitsbetrieb usw.)
Wenn Sie den IT-Betrieb oder Sicherheitsfunktionen auslagern, verfügt Ihr Anbieter über erweiterte Zugriffsmöglichkeiten und Kenntnisse. Zu den Kontrollen gehören:
Zuverlässigkeitsüberprüfungen des Personals mit Zugriff auf Ihre Systeme.
Sicherheitsüberprüfungen oder gleichwertige Überprüfungen beim Umgang mit sensiblen Daten.
Geheimhaltungsvereinbarungen, die für alle Mitarbeiter verbindlich sind.
Aufgabentrennung: Beschränken Sie den Zugriff des Anbieters auf das, was für seine Funktion benötigt wird.
Kontinuierliche Überwachung: Protokollieren und überwachen Sie den Zugriff von Anbietern auf Ihre Systeme.
Regelmäßige Audits, um sicherzustellen, dass sie den Verpflichtungen nachkommen.
Lieferkette für Hardware und Beschaffung
Physikalische Komponenten (Server, Netzwerkgeräte usw.) können manipuliert werden. Zu den Steuerungen gehören:
Echtheitsprüfung: Stellen Sie sicher, dass die Hardware echt und nicht gefälscht oder überholt ist.
Überprüfung der Lieferkette: Verfolgen Sie die Hardware vom Hersteller bis zu Ihnen, um sicherzustellen, dass sie nicht abgefangen oder verändert wird.
Firmware-Überprüfung: Stellen Sie sicher, dass die Firmware auf Geräten nicht geändert wurde oder Hintertüren enthält.
Für Regierungsstellen oder solche, die mit hochsensiblen Daten umgehen, kann dies spezielle Beschaffungsprozesse oder Dienstleistungen zur Überprüfung der Lieferkette beinhalten.
Notfallplanung
Sie benötigen Notfallpläne für den Fall, dass ein wichtiger Anbieter ausfällt, kompromittiert wird oder nicht mehr verfügbar ist.
Fragen Sie für jeden wichtigen Anbieter: Was würde passieren, wenn dieser Anbieter plötzlich nicht mehr verfügbar wäre? Wie würden wir den Service aufrechterhalten?
Notfallpläne können Folgendes beinhalten:
Alternative Anbieter: Pflegen Sie Beziehungen zu Backup-Anbietern, die die Leitung übernehmen könnten, wenn Ihr primärer Anbieter ausfällt.
Hybride Vereinbarungen: Verwenden Sie mehrere Anbieter für denselben Service, sodass kein einzelner Anbieter eine einzige Ausfallstelle ist.
Interne Fähigkeiten: Entwickeln Sie interne Fähigkeiten, um eine wichtige Funktion bereitzustellen, falls ein Anbieter nicht verfügbar ist (dies erfordert mehr Ressourcen, bietet aber maximale Widerstandsfähigkeit).
Vertragliche Anforderungen: Erfordern Sie von Ihrem Anbieter die Aufrechterhaltung der Geschäftskontinuität und die Festlegung von Zielen für die Wiederherstellungszeit.
Regelmäßige Tests: Testen Sie Ihre Notfallpläne regelmäßig. Können Sie tatsächlich innerhalb des benötigten Zeitrahmens zu einem Backup-Anbieter wechseln?
Das Ziel besteht nicht darin, das Risiko Dritter zu eliminieren — die meisten modernen Unternehmen sind auf Anbieter angewiesen. Das Ziel besteht vielmehr darin, das Risiko zu verstehen und Pläne zu seiner Minderung zu entwickeln.
Steuerung des Lieferantenrisikos
Richten Sie eine Governance rund um das Lieferantenmanagement ein:
Überprüfung der Beschaffung: Bevor Sie einen Vertrag mit einem neuen Anbieter abschließen, führen Sie eine Sicherheitsbewertung durch. Akzeptieren Sie keine Anbieter, die sich weigern, Sicherheitspraktiken offenzulegen oder Audits zuzulassen.
Risikoausschuss für Lieferanten: Richten Sie einen Ausschuss ein, der die Risikobewertungen der Anbieter überprüft, Lieferantenbeziehungen genehmigt und die Leistung der Lieferanten überwacht.
Risikoregister für Anbieter: Führen Sie ein Verzeichnis kritischer Anbieter, ihrer Risikobewertung und aller noch offenen Sicherheitsprobleme.
Jährliche Überprüfung: Überprüfen Sie mindestens einmal jährlich alle wichtigen Lieferantenbeziehungen. Erfüllen sie die Sicherheitsanforderungen? Sind neue Risiken aufgetaucht?
Sichtbarkeit des Vorstands: Eskalieren Sie risikoreiche Lieferantenbeziehungen an den Vorstand oder den Vorstandsausschuss zur Überwachung.
Die Perspektive des Anbieters
Wenn Sie ein Anbieter sind, wirkt sich NIS2 auch auf Sie aus. Ihre Kunden werden Ihre Sicherheit beurteilen und vertragliche Anforderungen stellen. Um effektiv im Wettbewerb zu bestehen:
Entwickeln Sie ein starkes Cybersicherheitsprogramm (die ISO 27001-Zertifizierung ist eine gute Grundlage).
Führen Sie regelmäßige Sicherheitsbewertungen durch und gehen Sie transparent mit den Ergebnissen um.
Halten Sie eine koordinierte Richtlinie zur Offenlegung von Sicherheitslücken ein.
Seien Sie bereit, Sicherheitsfragebögen zu beantworten und sich Audits zu unterziehen.
Entwickeln Sie ein Lieferantenrisikomanagementprogramm für Ihre eigenen Lieferanten.
Veröffentlichen Sie ein Sicherheits-Whitepaper oder eine Dokumentation, in der Ihre Sicherheitspraktiken beschrieben werden.
Wichtige Erkenntnisse
- Die Sicherheit der Lieferkette (Artikel 21 Absatz 2 Buchstabe d) ist jetzt eine verbindliche behördliche Verpflichtung. Sie müssen wichtige Anbieter identifizieren, ihre Cybersicherheitspraktiken bewerten, vertragliche Anforderungen festlegen und die Einhaltung der Vorschriften im Laufe der Zeit überwachen.
- Die Bewertung kritischer Anbieter sollte in einem angemessenen Verhältnis zu Kritikalität und Risiko stehen. Verwenden Sie für alle Anbieter Sicherheitsfragebögen, führen Sie Audits für kritische Anbieter durch, die sensible Daten verarbeiten oder wichtige Dienste anbieten, und verlangen Sie gegebenenfalls Zertifizierungen (ISO 27001, SOC 2).
- Lieferantenverträge müssen Sicherheitsklauseln enthalten, die den Anbieter verpflichten, ein Cybersicherheitsprogramm aufrechtzuerhalten, Sie über Vorfälle zu informieren, eine mehrstufige Authentifizierung und Verschlüsselung zu implementieren, Bewertungen durchzuführen, seine eigenen Anbieter zu verwalten, die Geschäftskontinuität aufrechtzuerhalten und es Ihnen zu ermöglichen, deren Praktiken zu überprüfen.
- Eine kontinuierliche Überwachung ist unerlässlich: Verfolgen Sie Vorfälle von Anbietern in den Nachrichten, führen Sie jährliche Neubewertungen durch, überwachen Sie Sicherheitspatches, bleiben Sie über Änderungen der Praktiken oder der Eigentumsverhältnisse des Anbieters auf dem Laufenden und verhandeln Sie Verträge neu, wenn sich das Risiko ändert.
- Koordinierte Risikobewertungen kritischer ICT-Lieferketten, die von der Kooperationsgruppe (EU-Ebene) durchgeführt werden, sollten überwacht und in Ihre Entscheidungen im Lieferantenmanagement einfließen.
- Bei der Notfallplanung müssen Sie herausfinden, was passieren würde, wenn ein wichtiger Anbieter ausfällt, alternative Lieferantenbeziehungen oder interne Kapazitäten entwickeln und regelmäßig Ihre Fähigkeit testen, Notfallmaßnahmen zu ergreifen.
